一種生物認證方法及系統的制作方法

專利名稱：：一種生物認證方法及系統的制作方法
技術領域：
：本發明涉及數據安全領域，尤其涉及一種生物認證方法及系統。
背景技術：
：隨著網絡快速發展，網絡越來越和人們的工作與生活融合在一起，電子政務、電子辦公、電子商務得到了大量的應用，網上銀行，網上交易等也愈發普遍，因此對人的身份認證也就顯得非常重要，它甚至是其它工作開始的第一步。以傳統密碼方式進行認證，存在容易忘記、容易被別人竊取等很難彌補的缺陷，安全性無法令人滿意，以至于近年來網絡欺詐，賬戶盜用的現象日益增多。因此，發展更高安全層次的個人信息保障，認證機制勢在必行。近年來生物特征識別技術逐漸成熟，以及網絡身份認證的特殊環境，把生物特征識別技術應用在身份認證上，利用生物特征的唯一性、穩定性等特點，為信息安全提供了保障。生物識別技術是指利用人類自身生理或行為特征進行身份確認的一種技術，如指紋識別、虹膜識別、臉型識別、脈絡識別等。生物識別認證系統必須先創建生物特征模版，進行身份認證時將新收集的生物特征數據與預先注冊存儲的模版進行匹配，看匹配結果在是否有效范圍內來判斷結果。生物識別認證系統的安全性表示系統抵抗對任何非法企圖通過身份驗證的能力。對生物系統安全性的破壞來自兩個方面生物系統固有的不完善性和非法的攻擊。這兩種因素都可能導致一個認證系統提供一個錯誤的身份證明，錯誤地接受非法用戶的身份。對于受這個認證系統保護的資源，這將會導致非法-沐問或》皮壞。請參閱圖1，生物認證系統可能會受到如下一些攻擊1、在傳感器側提供偽造的生物特征(欺騙攻擊)提供給傳感器的是真的生物表征，但表征的取得是非法的，如塑膠手指、打印的虹膜圖像等。2、重新提交以前存儲的數字生物數據(重放攻擊)繞過傳感器，把以前登記的數字生物數據直接提交給特征提取器。3、覆蓋特征提取器的處理結果利用木馬病毒把預先選定的模版直接覆蓋特征提取器的處理結果。4、篡改生物特征表述在特征提取器和匹配器模塊之間的傳輸中，使用偽造的特征集取代真正采集處理后獲得的模版。5、破壞匹配器使用木馬病毒在匹配模塊中產生匹配得分。6、攻擊存放預存模版和匹配器的通道在存放模版的數據庫和匹配模塊的傳輸中，用偽造的模版替換預存的模版。7、篡改模版事先修改數據庫中存放的模版(無論是否是分布式系統)，這樣后來使用的已經是一個偽造的模版了。8、覆蓋決策結果使用木馬病毒修改或替換決策模塊的結果，或在向應用設備傳輸途中替換決策結果。在上述的攻擊中，2-8的攻擊發生在生物系統內部，其中2、4、6、8多發生在分布式系統中。目前有很多安全技術用于防御這些攻擊，簡單來說，確保通道安全和數據加密可以防御傳輸過程中發生的攻擊；解決重放攻擊最常用的方法是在數據中增加時間戳，或者在提交生物特征時采用口令-應答機制；安裝防木馬和病毒的軟件可以防止夂馬病毒干擾認證過程。對分布式生物認證系統中各部件之間數據傳輸的安全保護已經有了一些國際標準或草案，如ISO/IECCD24761。但是現有的認證方法對攻擊的防御都是從認證系統外部出發，而并沒有通過提高數據本身安全性的方面出發，所以生物認證過程的安全性得不到有效的提高。
發明內容本發明要解決的技術問題是提供一種生物認證方法及系統，能夠提高生物認證過程的安全性。本發明提供的生物認證方法，包括客戶端向驗證端發送參數信息唯一標識符；驗證端根據所述參數信息唯一標識符，通過生物安全級別列表查詢對應的生物認證參數并將所述生物認證參數發送至客戶端；客戶端根據接收到的生物認證參數進行相應處理并將生物信息發送至驗證端；驗證端根據生物認證參數對生物信息進行驗證。可選地，所述客戶端向驗證端發送參數信息唯一標識符的步驟包括客戶端向驗證端發送包含參數信息唯一標識符的屬性證書。可選地，所述客戶端向驗證端發送參數信息唯一標識符的步驟包括客戶端將包含參數信息唯一標識符的生物安全級別列表存放于驗證端數據庫或文件或者生物算法證書中。可選地，在客戶端向驗證端發送包含參數信息唯一標識符的屬性證書的步驟之后包括驗證端對接收到的屬性證書進行解析，獲取參數信息唯一標識符以及安全級別。可選地，客戶端還向-瞼證端發送生物證書；驗證端4妄收到所述生物證書之后包括解析生物證書，獲取生物模版。可選地，所述生物安全級別列表包括生物安全級別，策略以及生物參數信息；所述生物安全級別包括參數信息唯一標識符，和/或安全級別；所述生物參數信息包括生物類型，和/或生物算法，和/或算法錯誤匹配率值；所述驗證端根據所述參數信息唯一標識符，通過生物安全級別列表查詢對應的生物認證參數的步驟包括根據參數信息唯一標識符在生物安全級別列表中查詢具有相應參數信息唯一標識符的項；獲取所述項的安全級別，策略，生物類型，生物算法以及算法錯誤匹配率。可選地，所述將生物認證參數發送至客戶端的步驟包括驗證端將策略發送至客戶端請求客戶端進行策略檢查。可選地，若策略檢查通過，則客戶端獲取用戶生物信息并將其發送至驗證端；驗證端處理所述生物信息并生成活體生物模版；根據生物算法對生成的活體生物模版以及從生物證書中解析出的生物模版進行匹配評分；根據算法錯誤匹配率對所述匹配評分進行判定，并輸出認證結果。本發明提供的生物認證系統，包括客戶端以及驗證端；所述客戶端向驗證端發送參數信息唯一標識符；所述驗證端根據所述標識符，通過與生物安全級別列表中的對應標識符比對，查詢對應的生物認證參數并將所述生物認證參數發送至客戶端；所述客戶端根據接收到的生物認證參數進行相應處理并將生物信息發送至驗證端；所述驗證端根據生物認證參數對生物信息進行驗證。可選地，所述客戶端包括生物信息讀取單元以及發送單元；所述生物信息讀取單元用于讀取用戶提供的生物信息；所述發送單元用于向驗證端發送生物i正書以及屬性i正書。可選地，所述驗證端包括接收單元，解析單元，認證處理單元，生物模版處理單元，生物模版匹配單元以及判定單元；所述接收單元用于接收發送單元發送的生物證書以及屬性證書，并將其發送至解析單元；所述解析單元用于解析生物證書形成生物^t版并發送至生物;漠版匹配單元，并解析屬性證書，將解析結果發送至認證處理單元，并解析生物算法證書，將解析結果發送至認證處理單元；所述認證處理單元根據接收到的解析結果從生物信息讀取單元讀取生物信息并將所述生物信息發送至生物模版處理單元；所述生物模版處理單元根據接收到的生物信息生成活體生物模版并發送至生物模版匹配單元；所述生物模版匹配單元用于對接收到的生物模版以及活體生物模版進行匹配并將匹配評分發送至判定單元；所述判定單元用于判定匹配評分并輸出認證結果。以上技術方案可以看出，本發明具有以下優點本發明在驗證過程中利用了生物安全級別列表，驗證端預先將生物安全級別列表存儲，在進行認證時，驗證端根據客戶端發送的參數信息唯一標識符查詢存儲的生物安全級別列表中對應的生物認證參數，并將參數反饋客戶端，客戶端根據生物認證參數提供對應的生物信息至驗證端進行檢測，所以能夠提高生物認證過程的安全性；其次，驗證端可以通過多種方式存儲生物安全級別列表，客戶端也可以通過多種方式發送參數信息唯一標識符，所以提高了生物認證的靈活性。圖1為現有技術中生物系統可能受到的攻擊示意圖；圖2為本發明生物認證方法具體實施方式流程圖；圖3為本發明生物認證方法流程示意圖；圖4為本發明生物認證系統示意圖。具體實施例方式本發明提供了一種生物認證方法及系統，用于提高生物認證過程的安全性以及靈活性。請參閱圖2，本發明生物認證方法具體實施方式流程包括201、客戶端向驗證端發送參數信息唯一標識符；其中，客戶端向驗證端發送參數信息唯一標識符的方式有以下兩種一、綁定方式首先根據實際應用，由生物權威機構評價各種生物算法情況，并給出具體的策略、生物參數和相應的安全級別，制作成具體的生物安全級別列表。其中，生物安全級別列表是由多個生物安全級別模版按照一定的順序組合而成；其中，在本實施例中，生物安全級別;漠版包括生物安全級別由參數信息唯一標識符和安全級別構成。參數信息唯一標識符唯一區分出生物安全級別所對應的各種參數，如生物參數信息和安全級別的Hash值等，在實際使用時，將此項連同安全級別一起提供給具體的客戶端用戶或指定的數據庫。安全級別標識出某種策略和生物參數信息下代表的生物安全性。確定安全級別高低的依據是先根據策略，策略條件越多安全級別越高；再根據某一策略下同一生物類型，同一算法所對應的錯誤匹配率(FMR,FalseMatchRate)值，FMR值越小(在保證可用的情況下)安全越高。最后綜合這兩方面的情況確定出安全級別的值。策略策略反映使用者具體選用的策略方法，包括單模生物認證、單模生物認證+活體檢測、多模生物認證、多模生物認證+活體檢測等，也可以根據需要加入其它策略。其中，單模生物認證就是采用單個生物類型進行認證，如單獨使用指紋、虹膜、脈絡等進行身份認證；活體檢測就是要求生物讀取器具有識別活體生物的功能；多模生物認證就是同時使用不同類型的生物或同一生物不同實體進行身份認證。生物參數信息由生物類型、生物算法、算法FMR值和相關參數構成。生物類型標識出生物認證使用的生物名稱。如指紋、虹膜、面部等，還包括各種生物的組合(如指紋+虹膜)。生物算法生物認證中進行生物識別時所使用的生物處理算法，包括活體生物模版處理算法和生物模版匹配算法。生物算法FMR:某種生物算法所對應的一系列值，它反映算法的錯誤匹配率，這個值越小，其認證的結果越可靠，所以可以使用FMR來反映生物安全級別的高低。相關參數留作以后使用，作為擴充，可以根據需要加入。根據上述格式，下面給出一個生物安全級別列表的具體實例，如下表所示表l<table>tableseeoriginaldocumentpage10</column></row><table><table>tableseeoriginaldocumentpage11</column></row><table>在上表中，按照行的排序，由上至下，生物安全級別逐漸升高。其中，雜湊值Hash或加密值i,Hash或加密值j，Hash或加密值k，Hash或加密值1各不相同。參數信息唯一標識值和相關的生物參數信息。安全級別安全級別與策略和FMR關聯，具體確定安全級別高低的依據可以是先根據策略，策略條件越多安全級別越高；再根據某一策略下同一生物類型，同一算法所對應的FMR值，FMR值越小(在保證可用的情況下)安全越高，最后綜合這兩方面的情況確定出安全級別的值。可以理解的是，同樣可以根據具體的需要調整關聯的方式，安全級別的值反映生物安全級別的值。在策略下，一般認為安全級別遞增次序是單模<單模+活體檢測<多模<多模+活體檢測，可以根據需要添加策略，即策略條件越多安全級別越高。即Ai<Bj<Ck<Dl。生物算法對于策略為單模情況下，同一個生物類型可能會有對應多個生物處理算法，如處理指紋的算法有多種。對于策略為多模情況下，相同組合的生物類型，可能對應多種算法的組合，如指紋+虹膜組合可以對應處理算法指紋算法1+虹膜算法1，也可以為指紋算法2+虹膜算法2。FMR值每一個算法或算法組合可以對應多個FMR值，可以在滿足系統可用的條件下給出一系列的值，它們決定安全級別的高低。例如策略為A,生物類型為B，生物算法為C,在這種情況下對應的FMR值為l，2,3，這些數值決定安全級別的高低。其中，生成的生物安全級別列表一般被存放在生物算法證書中。其次將生物安全級別列表中的參數信息唯一標識符放在屬性證書的擴展中，即使參數信息唯一標識符和屬性證書綁定，在使用的時候，客戶端將生物證書與屬性證書發送給驗證端，即是將參數信息唯一標識符發送給驗證端。其中，參數信息唯一標識符是hash值或加密值(若使用加密值，一般使用BAC的公鑰)，或者其它能用來唯一標識某條安全級別信息的符號。二、獨立方式獨立使用生物安全級別列表是指不把生物安全級別列表放到生物算法證書中，比如把生物安全級別列表放到數據庫中或一個文件中，每次使用時，從數據庫或文件中調用。此時，若參數信息唯一標識符與屬性證書綁定，則其調用機制與綁定方式相同，若參數信息唯一標識符不與屬性證書綁定，則可以將每個用戶權限對應的參數信息唯一標識符放到數據庫中，以此代替從屬性證書中解析用戶參數信息唯一標識符和安全級別，每次使用時從數據庫中調用相應的用戶參數信息唯一標識符和安全級別。202、驗證端查詢對應的生物認證參數；其中，驗證端接收到參數信息唯一標識符之后，在生物算法證書中存儲的生物安全級別列表中查詢具有相應參數信息唯一標識符的項并獲取該項的安全級別，策略，生物類型，生物算法以及算法錯誤匹配率。203、將生物認證參數發送至客戶端；其中，驗證端將獲取到的生物認證參數發送至客戶端。204、客戶端根據接收到的生物認證參數進行相應處理并將生物信息發送至驗4正端；205、驗證端根據生物認證參數對生物信息進行驗證。請參閱圖3，本發明生物認證方法流程包括301、客戶端向驗證端發送生物證書和屬性證書；302、驗證端接收并驗證生物證書和屬性證書的有效性，同時檢驗生物證書和屬性證書的綁定關系；303、解析屬性證書，獲得用戶權限、雜湊值和安全級別(也可以是能區分調用參數的其它標識，如加密等)；304、解析生物證書，獲得生物模版，若有多個生物模版，就根據生物類型選取生物模版；305、驗證并解析生物算法證書，獲得生物安全級別列表；306~307、才艮據步驟303中的雜湊值和安全級別在生物安全級別列表中查找到對應的生物認證參數；其中，雜湊值Hash或加密值i,Hash或加密值j,Hash或加密值k,Hash或加密值l各不相同；其中，生物認證參數包括策略、生物類型、生物算法以及FMR值(門限值)；將生物認證參數劃分為三部分1、策略，生物類型以及生物算法中的處理算法；2、FMR值；3、生物算法中的匹配算法；將這三部分分別發送至不同單元進行處理。308、驗證端發送策略給客戶端，要求客戶端通過策略的檢查，否則拒絕客戶端的下一步的操作；309、如果步驟308檢查通過，客戶端判斷本地是否含有認證所需的生物信息，若沒有，則提示用戶通過輸入設備輸入相應的生物信息，客戶端采集到所需的生物信息之后將生物信息發送至驗證端，驗證端獲取用戶生物信息，并將生物信息發送給活體生物模版處理單元(活體生物模版處理單元可以在驗證端，也可以在客戶端或第三方，本實施例中在驗證端)；310、活體生物模版處理單元，處理發送來的生物信息，獲得活體生物模版；311、生物模版匹配單元，根據步驟304的生物模版和步驟307的算法參數，將活體生物模版和步驟304的生物模版進行匹配評分；312、根據FMR參數值對步驟311進行判定，獲得結果，完成身份認證，通知其它調用。本實施例中，生物安全級別列表被存放于生物算法證書中，且參數信息唯一標識符與屬性證書綁定，可以理解的是，若生物安全級別列表未被存放于生物算法證書中，或者參數信息唯一標識符未與屬性證書綁定，其認證流程大致相同，區別僅在于生物安全級別列表或參數信息唯一標識符獲:f又的位置不同。請參閱圖4,本發明生物認證系統包括客戶端401以及驗證端402;客戶端401向-瞼證端402發送參數信息唯一標識符；驗證端402沖艮據所述標識符，通過與生物安全級別列表中的對應標識符比對，查詢對應的生物認證參數并將所述生物認證參數發送至客戶端401;客戶端401根據接收到的生物認證參數進行相應處理并將生物信息發送至-瞼-〖正端402;驗證端402根據生物認證參數對生物信息進行驗證。其中，客戶端401包括生物信息讀取單元4011以及發送單元4012;生物信息讀取單元4011用于讀取用戶提供的生物信息；其中，驗證端402包括接收單元4021,解析單元4022，認證處理單元4023，生物模版處理單元4024，生物模版匹配單元4025以及判定單元4026;接收單元4021用于接收發送單元4012發送的生物證書以及屬性證書，并將其發送至解析單元4022;解析單元4022用于解析生物證書形成生物模版并發送至生物模版匹配單元4025，并解析屬性證書，將解析結果發送至認證處理單元4023,并解析生物算法證書，將解析結果發送至認證處理單元4023;認證處理單元4023根據接收到的解析結果從生物信息讀取單元4011讀取生物信息并將所述生物信息發送至生物模版處理單元4024;生物模版處理單元4024根據接收到的生物信息生成活體生物模版并發送至生物模版匹配單元4025;生物模版匹配單元4025用于對接收到的生物模版以及活體生物模版進行匹配并將匹配評分發送至判定單元4026;判定單元4026用于判定匹配評分并輸出認i正結果。以上對本發明所提供的一種生物認證方法及系統進行了詳細介紹，本文中應用了具體個例對本發明的原理及實施方式進行了闡述，以上實施例的說明只是用于幫助理解本發明的方法及其核心思想；同時，對于本領域的一般技術人員，依據本發明的思想，在具體實施方式及應用范圍上均會有改變之處，綜上所述，本說明書內容不應理解為對本發明的限制。權利要求1、一種生物認證方法，其特征在于，包括客戶端向驗證端發送參數信息唯一標識符；驗證端根據所述參數信息唯一標識符，通過生物安全級別列表查詢對應的生物認證參數并將所述生物認證參數發送至客戶端；客戶端根據接收到的生物認證參數進行相應處理并將生物信息發送至驗證端；驗證端根據生物認證參數對生物信息進行驗證。2、根據權利要求1所述的生物認證方法，其特征在于，所述客戶端向驗證端發送參數信息唯一標識符的步驟包括客戶端向驗證端發送包含參數信息唯一標識符的屬性證書。3、根據權利要求1所述的生物認證方法，其特征在于，所述客戶端向驗證端發送參數信息唯一標識符的步驟包括客戶端將包含參數信息唯一標識符的生物安全級別列表存放于驗證端數據庫或文件或者生物算法證書中。4、根據權利要求2所述的生物認證方法，其特征在于，在客戶端向驗證端發送包含參數信息唯一標識符的屬性證書的步驟之后包括驗證端對接收到的屬性證書進行解析，獲取參數信息唯一標識符以及安全級別。5、根據權利要求4所述的生物認證方法，其特征在于，客戶端還向驗證端發送生物證書；驗證端接收到所述生物證書之后包括解析生物證書，獲取生物模版。6、根據權利要求5所述的生物認證方法，其特征在于，所述生物安全級別列表包括生物安全級別，策略以及生物參數信息；所述生物安全級別包括參數信息唯一標識符，和/或安全級別；所述生物參數信息包括生物類型，和/或生物算法，和/或算法錯誤匹配率值；所述驗證端根據所述參數信息唯一標識符，通過生物安全級別列表查詢對應的生物認證參數的步驟包括根據參數信息唯一標識符在生物安全級別列表中查詢具有相應參數信息唯一標識符的項；獲取所述項的安全級別，策略，生物類型，生物算法以及算法錯誤匹配率。7、根據權利要求6所述的生物認證方法，其特征在于，所述將生物認證參數發送至客戶端的步驟包括驗證端將策略發送至客戶端請求客戶端進行策略檢查。8、根據權利要求7所述的生物認證方法，其特征在于，若策略檢查通過，則客戶端獲取用戶生物信息并將其發送至驗證端；驗證端處理所述生物信息并生成活體生物模版；根據生物算法對生成的活體生物模版以及從生物證書中解析出的生物模版進行匹配評分；根據算法錯誤匹配率對所述匹配評分進行判定，并輸出認證結果。9、一種生物認證系統，其特征在于，包括客戶端以及驗證端；所述客戶端向驗證端發送參數信息唯一標識符；所述驗證端才艮據所述標識符，通過與生物安全級別列表中的對應標識符比對，查詢對應的生物認證參數并將所述生物認證參數發送至客戶端；所述客戶端根據接收到的生物認證參數進行相應處理并將生物信息發送至-瞼i正端；所述驗證端根據生物認證參數對生物信息進行驗證。10、根據權利要求9所述的生物認證系統，其特征在于，所述客戶端包括:生物信息讀取單元以及發送單元；所述生物信息讀取單元用于讀取用戶提供的生物信息；所述發送單元用于向驗證端發送生物證書以及屬性證書。11、根據權利要求10所述的生物認證系統，其特征在于，所述驗證端包括接收單元，解析單元，認證處理單元，生物模版處理單元，生物模版匹配單元以及判定單元；所述接收單元用于接收發送單元發送的生物證書以及屬性證書，并將其發送至解析單元；所述解析單元用于解析生物證書形成生物模版并發送至生物模版匹配單元，并解析屬性證書，將解析結果發送至認證處理單元，并解析生物算法證書，將解析結果發送至認證處理單元；所述認證處理單元根據接收到的解析結果從生物信息讀取單元讀取生物信息并將所述生物信息發送至生物模版處理單元；所述生物模版處理單元根據接收到的生物信息生成活體生物模版并發送至生物模版匹配單元；所述生物模版匹配單元用于對接收到的生物模版以及活體生物模版進行匹配并將匹配評分發送至判定單元；所述判定單元用于判定匹配評分并輸出認證結果。全文摘要本發明公開了一種生物認證方法及系統，用于提高生物認證過程的安全性以及靈活性。所述方法包括客戶端向驗證端發送參數信息唯一標識符；驗證端根據所述參數信息唯一標識符，通過生物安全級別列表查詢對應的生物認證參數并將所述生物認證參數發送至客戶端；客戶端根據接收到的生物認證參數進行相應處理并將生物信息發送至驗證端；驗證端根據生物認證參數對生物信息進行驗證。本發明還相應地提供一個生物認證系統。本發明可以有效地提高生物認證過程的安全性以及靈活性。文檔編號H04L9/32GK101174949SQ20061013649公開日2008年5月7日申請日期2006年10月30日優先權日2006年10月30日發明者冰劉,劉宏偉申請人:華為技術有限公司